A partire da gennaio 2022, gli esperti di sicurezza di Avanan hanno rilevato che gli attori malevoli stanno rilasciando file eseguibili dannosi nelle conversazioni di Teams per veicolare un Trojan.
In questo attacco, gli hacker allegano un file .exe denominato “User Centric” alle chat di Teams, installano i file DLL e creano collegamenti di scelta rapida per l’autogestione per installare un Trojan sul computer dell’utente. Il documento dannoso allegato a un thread di chat, una volta cliccato, consente di prendere il controllo del computer dell’utente.
“Allegando il file a un attacco Teams, gli hacker hanno trovato un nuovo modo per colpire facilmente milioni di utenti”, spiegano gli esperti di Avanan.
Il primo passaggio è accedere a Teams compromettendo un’organizzazione partner e ascoltando le chat inter-organizzative, oppure compromettendo un indirizzo e-mail e utilizzandolo per accedere a Teams, o ancora rubando le credenziali di Microsoft 365 da una precedente campagna di phishing.
Una volta all’interno di un’organizzazione, gli aggressori possono conoscere la tecnologia utilizzata per proteggere l’organizzazione e quindi utilizzare il malware che bypasserà le protezioni esistenti.
“Ad aggravare questo problema c’è il fatto che mancano le protezioni predefinite di Teams, poiché la scansione di collegamenti e file dannosi è limitata. Inoltre, molte soluzioni di sicurezza della posta elettronica non offrono una protezione solida per Teams. Gli hacker, che possono accedere agli account Teams tramite attacchi est-ovest o sfruttando le credenziali che raccolgono in altri attacchi di phishing, hanno carta bianca per lanciare attacchi contro milioni di utenti ignari”, si legge nell’analisi di Avanan.
Inoltre, gli utenti hanno una fiducia intrinseca nella piattaforma. Da un’analisi Avanan degli ospedali che utilizzano Teams, ad esempio è risultato che i medici condividono le informazioni mediche dei pazienti senza limiti sulla piattaforma.
“Il personale medico generalmente conosce le regole di sicurezza e il rischio di condividere le informazioni via e-mail, ma ignora quelle quando si tratta di Teams. Inoltre, quasi tutti gli utenti possono invitare persone di altri reparti e spesso c’è una supervisione minima quando gli inviti vengono inviati o ricevuti da altre società. A causa della scarsa familiarità con la piattaforma Teams, molti si fideranno e approveranno le richieste. All’interno di un’organizzazione, un utente può facilmente fingere di essere qualcun altro, che si tratti del CEO, del CFO o dell’help desk IT”.
“Questo attacco dimostra che gli hacker stanno iniziando a comprendere e utilizzare meglio Teams come potenziale vettore di attacco”, conclude l’analisi.
https://www.avanan.com/blog/hackers-attach-malicious-.exe-files-to-teams-conversations